>_AYSOLI SECURITY HUB
THREAT AREA

SaaS & Email DLP

In einer Cloud-first Welt liegen die meisten Daten in SaaS-Anwendungen. Herkömmliche Netzwerk-Firewalls sehen diesen Datenverkehr nicht mehr. Ein wirksames SaaS-DLP schützt Daten direkt am Entstehungsort.

Deine Strategie

Nutze Cloud-native DLP-Engines (z.B. Microsoft Purview), um den Inhalt von E-Mails, Teams-Chats und SharePoint-Dateien in Echtzeit zu scannen. Implementiere fortschrittliche Techniken wie Exact Data Matching (EDM), um spezifische Kundendaten zu identifizieren, und OCR, um Texte in Bildern zu analysieren.

Best Practices

  • Data Centricity: Schütze die Daten dort, wo sie liegen (In-Place), statt sie am Perimeter filtern zu wollen.
  • SSPM: Überwache kontinuierlich die Freigabe-Konfigurationen deiner SaaS-Anwendungen auf Fehlkonfigurationen.
  • Verschlüsselung: Nutze automatisierte Verschlüsselung für E-Mails, die als "Vertraulich" klassifiziert wurden.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-M365-01

Exfiltration via Inbox Rules

Automatisierte Weiterleitung von E-Mails an externe Adressen.

Information DisclosureI-DLP-01

Insider Data Theft

Bewusster oder unbewusster Abfluss von Daten durch interne Personen.

Information DisclosureI-DLP-03

Encrypted Channel Exfiltration

Abfluss von Daten über verschlüsselte, nicht einsehbare Kanäle.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Mailflow Rules (Transport Rules)GrundschutzNiedrig
CIS: 9.3NIST: PR.DS-2
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Execution
T1137

Office Application Startup

ATT&CK

Ausnutzung von Office-Startvorgängen zur Codeausführung.

Mitigiert durch
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Mailbox Delegation MonitoringErweiterter SchutzNiedrig
CIS: 6.2NIST: DE.AE-2
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
SaaS Security Posture Management (SSPM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.AM-2
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Mailbox Delegation MonitoringErweiterter SchutzNiedrig
CIS: 6.2NIST: DE.AE-2
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Adaptive MFA (Risk-based)Erweiterter SchutzNiedrig
CIS: 6.5NIST: PR.AC-7
Collection
T1114-003

Email Forwarding Rule

ATT&CK

Automatisierte Exfiltration durch Posteingangsregeln.

Mitigiert durch
Mailbox Delegation MonitoringErweiterter SchutzNiedrig
CIS: 6.2NIST: DE.AE-2
Mailflow Rules (Transport Rules)GrundschutzNiedrig
CIS: 9.3NIST: PR.DS-2
T1114-002

Remote Email Collection

ATT&CK

Abgreifen von E-Mails direkt vom Server.

Mitigiert durch
Mailflow Rules (Transport Rules)GrundschutzNiedrig
CIS: 9.3NIST: PR.DS-2
T1530

Data from Cloud Storage Object

ATT&CK

Abgreifen von Daten aus Cloud-Speichern (S3, Blobs).

Mitigiert durch
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
SaaS Security Posture Management (SSPM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.AM-2
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Privacy by Design GuardrailsGrundschutzMittel
CIS: 17.3NIST: ID.AM-7
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Exact Data Matching (EDM)Erweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
OCR for DLPErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-5
Trainable ClassifiersErweiterter SchutzHoch
NIST: PR.DS-1OWASP: AI-Governance
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Sensitivity Labels (Purview)Erweiterter SchutzHoch
CIS: 13.2NIST: PR.DS-1
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Automatic Data ClassificationErweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
Exact Data Matching (EDM)Erweiterter SchutzHoch
CIS: 13.1NIST: PR.DS-1
OCR for DLPErweiterter SchutzMittel
CIS: 13.3NIST: PR.DS-5
Trainable ClassifiersErweiterter SchutzHoch
NIST: PR.DS-1OWASP: AI-Governance
SaaS Security Posture Management (SSPM)Erweiterter SchutzMittel
CIS: 1.1NIST: ID.AM-2
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
SaaS & Email DLP | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub